Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.15)

CVE-2026-1698
Średnie

Podatność ataku na nagłówek Host HTTP w aplikacjach WebClient i WebScheduler PcVue (wersje 15.0.0 do 16.3.3) umożliwia zdalnemu atakującemu wstrzyknięcie szkodliwych ładunków manipulujących działaniem serwera. Problem dotyczy konkretnych endpointów: /Authentication/ExternalLogin, /Authentication/AuthorizationCodeCallback oraz /Authentication/Logout.

CVE-2026-1697
Średnie

W aplikacjach webowych GraphicalData i WebClient oprogramowania PcVue w wersjach od 12.0.0 do 16.3.3 brakuje atrybutów Secure i SameSite w ciasteczkach. Umożliwia to ataki przechwytywania sesji oraz ataki CSRF.

CVE-2026-1696
Średnie

Serwer WWW nie ustawia prawidłowo niektórych nagłówków bezpieczeństwa HTTP w odpowiedziach wysyłanych do aplikacji klienckiej. Może to prowadzić do osłabienia ochrony przed atakami typu XSS, clickjacking czy inne zagrożenia związane z brakiem odpowiednich nagłówków.

CVE-2026-1695
Średnie

Podatność XSS w usługach OAuth PcVue (wersje 12.0.0–16.3.3) umożliwia zdalnemu atakującemu wstrzyknięcie złośliwego kodu na stronę błędu serwera OAuth. Atak wymaga nakłonienia uwierzytelnionego użytkownika do załadowania treści z zewnętrznej strony po nieudanym logowaniu.

CVE-2026-1694
Średnie

Podatność w PcVue (wersje 12.0.0–16.3.3) powoduje, że domyślna konfiguracja IIS i ASP.NET dodaje nagłówki HTTP, które nie są usuwane podczas wdrażania usług sieciowych dla funkcji WebVue, WebScheduler, TouchVue i SnapVue. Umożliwia to niepotrzebne ujawnianie poufnych informacji o konfiguracji serwera.

CVE-2026-1692
Średnie

Brak walidacji pochodzenia w WebSocketach w interfejsach WebVue, WebScheduler, TouchVue i SnapVue oprogramowania PcVue (wersje 12.0.0–16.3.3) umożliwia zdalnemu atakującemu nakłonienie uwierzytelnionego użytkownika do odwiedzenia złośliwej strony. Podatność dotyczy tylko endpointów GraphicalData/js/signalR/connect i GraphicalData/js/signalR/reconnect.

CVE-2026-25554
Średnie

W module auth_jwt programu OpenSIPS przed wersją 3.6.4 występuje podatność na iniekcję SQL w funkcji jwt_db_authorize(). Atakujący może wysłać spreparowany token JWT ze złośliwym polem tag, które bez odpowiedniego oczyszczenia trafia do zapytania SQL, co pozwala na ominięcie uwierzytelniania JWT i podszycie się pod dowolnego użytkownika.

CVE-2026-27610
Średnie

Podatność w Parse Dashboard w wersjach od 7.3.0-alpha.42 do 9.0.0-alpha.7 powoduje, że pamięć podręczna `ConfigKeyCache` używa tego samego klucza dla klucza głównego i klucza głównego tylko do odczytu podczas rozwiązywania kluczy typu funkcyjnego. W określonych warunkach czasowych użytkownik z ograniczonymi uprawnieniami może otrzymać z pamięci podręcznej pełny klucz główny, a zwykły użytkownik może otrzymać klucz główny tylko do odczytu.

CVE-2026-27609
Średnie

Parse Dashboard w wersjach od 7.3.0-alpha.42 do 9.0.0-alpha.7 nie posiada ochrony CSRF dla endpointu AI Agent (`POST /apps/:appId/agent`). Atakujący może stworzyć złośliwą stronę, która po odwiedzeniu przez uwierzytelnionego użytkownika dashboardu wysyła żądania do tego endpointu, wykorzystując sesję ofiary.

CVE-2026-26351
Średnie

GetSimpleCMS Community Edition w wersjach przed 3.3.22 zawiera podatność na trwałe XSS w funkcjonalności Theme to Components w pliku components.php. Wprowadzona przez administratora wartość w polu "slug" komponentu jest przechowywana bez odpowiedniego kodowania wyjścia, co pozwala na wykonanie dowolnego kodu JavaScript w interfejsie administracyjnym.

CVE-2026-3091
Średnie

W podatności CVE-2026-3091 w Synology Presto Client przed wersją 2.1.3-0672 występuje niekontrolowany element ścieżki wyszukiwania, który pozwala lokalnym użytkownikom na odczyt lub zapis dowolnych plików oraz przeprowadzenie ataku typu denial-of-service podczas instalacji, poprzez umieszczenie złośliwego pliku DLL w tym samym katalogu co instalator.

CVE-2026-25969
Średnie

W ImageMagick przed wersją 7.1.2-15 występuje wyciek pamięci w pliku `coders/ashlar.c`. Funkcja `WriteASHLARImage` alokuje strukturę, ale w przypadku wystąpienia wyjątku, pamięć nie jest prawidłowo zwalniana, co prowadzi do potencjalnego wycieku pamięci.

CVE-2025-69725
Średnie

Podatność Open Redirect w funkcji RedirectSlashes biblioteki go-chi/chi w wersji 5.2.2 i nowszych umożliwia zdalnym atakującym przekierowanie ofiar na złośliwe strony przy użyciu domeny legalnej witryny.

CVE-2026-23229
Średnie

W jądrze systemu Linux zidentyfikowano podatność związaną z brakiem ochrony spinlock w powiadomieniach virtqueue dla urządzenia virtio-crypto. Problem występuje podczas uruchamiania polecenia benchmark openssl z wieloma procesami, co prowadzi do zawieszenia procesów openssl.

CVE-2026-23228
Średnie

W jądrze Linuxa zidentyfikowano podatność związaną z wyciekiem licznika aktywnych połączeń w funkcji ksmbd_tcp_new_connection(). W przypadku niepowodzenia funkcji kthread_run(), transport jest zwalniany, co prowadzi do nieodpowiedniego zarządzania licznikiem active_num_conn.

CVE-2026-23220
Średnie

W jądrze systemu Linux zidentyfikowano podatność, która prowadzi do nieskończonej pętli w przypadku błędnej weryfikacji podpisu żądania SMB2. Problem występuje, gdy funkcja __process_request() nieprawidłowo ustawia wskaźnik do następnego polecenia, co skutkuje ciągłym przetwarzaniem tego samego błędnego żądania.

CVE-2025-8308
Średnie

Podatność CVE-2025-8308 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w systemie INFOREX - General Information Management System, co pozwala na ataki typu XSS poprzez nagłówki HTTP. Problem ten dotyczy wersji systemu od 2025 roku i wcześniejszych do 18 lutego 2026 roku.

CVE-2025-7630
Średnie

W Wispotter, produkcie firmy Doruk Communication and Automation Industry and Trade Inc., występuje podatność związana z niewłaściwym ograniczeniem nadmiernych prób uwierzytelnienia, co umożliwia ataki typu brute force na hasła. Problem dotyczy wersji od 1.0 do przed v2025.10.08.1.

CVE-2025-7706
Średnie

W podatności CVE-2025-7706 w oprogramowaniu Liderahenk występuje brak uwierzytelnienia dla krytycznej funkcji, co umożliwia zdalne włączenie kodu. Problem dotyczy wersji Liderahenk od 3.0.0 do 3.3.1 przed 3.5.0.

CVE-2025-8303
Średnie

Podatność CVE-2025-8303 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w skrypcie nieruchomości EKA Software. Umożliwia to ataki typu Cross-Site Scripting (XSS).

PoprzedniaStrona 263 z 565Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS